O que os CISOs precisam de seus CEOs

08/03/2024 mindsecblog Artigos, Notícias 9

O que os CISOs precisam de seus CEOs. Ao ajudar os CISOs a lidar com as expectativas colocadas sobre seus ombros, os CEOs podem beneficiar enormemente suas empresas.

Parece óbvio: os CEO e os seus diretores de segurança da informação (CISOs) devem ser parceiros naturais. Com o aumento persistente das ameaças cibernéticas, a maioria dos CEO reconhece a importância de ter um líder de segurança forte para proteger os dados da empresa, para não mencionar a sua reputação.

E, no entanto, de acordo com um relatório da PwC , apenas 30% dos CISOs sentem que recebem apoio suficiente do seu CEO.

Como se defender suas organizações de maus atores, apesar das restrições orçamentárias e da escassez crônica de talentos em segurança cibernética, já não fosse difícil o suficiente, dois casos de 2023 – acusações de fraude contra a SolarWinds e seu CISO e a sentença do ex-CISO da Uber – colocaram os chefes de segurança em uma posição perigosa de potencialmente enfrentar acusações criminais e ira regulatória se cometerem um erro.

Não é de admirar que o Gartner preveja que quase metade dos líderes de segurança cibernética mudarão de emprego até 2025 devido a múltiplos fatores de stress relacionados com o trabalho. “Os profissionais de segurança cibernética estão enfrentando níveis insustentáveis de estresse”, disse Deepti Gopal, da empresa de análise.

Não é do interesse de nenhuma organização experimentar uma alta rotatividade na função de CISO e é absolutamente útil para elas terem CISOs estáveis e bem-sucedidos. Parcerias de apoio entre CEOs e chefes de segurança cibernética são cruciais. Aqui estão quatro coisas que os CEOs podem fazer para ajudar:

1. Certifique-se de que o CISO tenha uma linha direta com o CEO

Hoje, a grande maioria dos CISOs se reporta ao CIO e não ao CEO, de acordo com a empresa de busca de executivos e consultoria de gestão Hedrick and Struggles (PDF). Qualquer que seja a relação formal de subordinação em uma determinada organização – CISO para CIO ou diretamente para o CEO – o mais importante é que o chefe de segurança e o chefe da empresa estejam em sintonia com a estratégia e execução cibernética.

Um relatório da Forrester de 2023 afirma que esta linha direta pode trazer cinco benefícios para os CISOs, incluindo forte controlo e responsabilidade de gestão do programa de segurança cibernética, financiamento para iniciativas de segurança e maior consciência das responsabilidades de segurança cibernética em toda a empresa.

Com a segurança cibernética agora tão vital, e à luz das enormes pressões sobre o CISO, este é um bom momento para os CEOs examinarem como estão se comunicando e colaborando com seus CISOs.

2. O CISO precisa de apoio

Como age um CEO solidário? Eles capacitam o CISO a liderar e executar a missão de segurança cibernética, fornecem recursos e demonstram empatia pela dificuldade do trabalho.

A importância da empatia não pode ser subestimada. Lembre-se, na sequência dos casos SolarWinds e Uber, os CISOs são agora pessoalmente obrigados a comunicar informações materiais de segurança cibernética com precisão ou poderão enfrentar ações legais. Os CEOs devem apreciar profundamente estas duras verdades e sempre aprovar os esforços do CISO no sentido da total transparência.

Quando o CISO defende bem os recursos, o CEO deve ser honesto sobre os graves riscos que advêm de dizer não. Este tipo de CEO está alinhado com o CISO em nunca se contentar com “segurança suficiente”, mas apoiar o líder em segurança nas oportunidades de melhoria.

3. Trabalhe com o CISO em uma estratégia de resiliência

Embora a cibersegurança nos últimos 20 ou 30 anos tenha sido definida pela prevenção, tornou-se claro que a discussão precisa de ser reformulada em torno da resiliência. Os dados cresceram e se diversificaram em um ritmo vertiginoso, a tal ponto que a maioria das organizações luta para identificar todos os dados que possuem e o que é crítico e o que não é. O relatório Rubrik Zero Labs descobriu que, em 2022, os dados aumentaram mais de 25% em uma organização típica, com dados de aplicativos de software como serviço (SaaS) explodindo em surpreendentes 236%.

Isto significa que, embora as organizações ainda necessitem de estratégias de prevenção, também é sensato reconhecer que os ataques são inevitáveis e mudar para um objetivo mais alcançável: proteger os dados mais críticos (como informações confidenciais dos clientes, dados financeiros e propriedade intelectual da empresa), limitar o impacto dos ataques, trabalhando rapidamente para retificá-los e mantendo o negócio funcionando.

A chave para construir este futuro resiliente são os CEO e CISO que sabem por que isso faz sentido e colaboram estreitamente para alcançá-lo.

4. Concorde com o impacto da IA

A ascensão da utilidade da IA generativa e da GenAI tanto para atacantes quanto para defensores tem recebido muita atenção. A IA está permitindo que os cibercriminosos gerem mais códigos para atacar as organizações e, por sua vez, está se tornando uma ferramenta necessária para ajudar as equipes de segurança a entender o que está acontecendo. Os CISOs precisam estar no topo de ambos os lados desta equação, mas também há outra dinâmica em jogo que os CEOs podem ajudar a arbitrar.

Para muitos do lado comercial de uma empresa, a IA é algo novo e brilhante que apresenta oportunidades para, por exemplo, oferecer aos clientes novos recursos de produtos. Mas as equipes de segurança cibernética devem observar atentamente o uso da GenAI no desenvolvimento de produtos ou nas funções de suporte ao cliente se acharem que ela está ultrapassando os limites do risco de segurança.

Em quaisquer situações em que esta tensão natural crie disputas que acabem na frente do CEO, o CEO pode apoiar o CISO e a missão cibernética da empresa, ponderando cuidadosamente as potenciais exposições de segurança, em vez de adotar uma mentalidade de “agir rapidamente e quebrar as coisas” que prioriza velocidade em vez de segurança.

Como mostram estas quatro sugestões, os CEOs têm o poder de ajudar os CISOs a lidar com as enormes expectativas que lhes são colocadas sobre os ombros. Os CEOs que exercem esses poderes não estão apenas fazendo a coisa certa para seus CISOs, mas também beneficiando enormemente suas empresas.

Fonte DarkReading